Red Hat Training

A Red Hat training course is available for Red Hat OpenStack Platform

付録C 完全なディスクイメージ

メインのオーバークラウドイメージは、フラットパーティションイメージです。これは、パーティション情報またはブートローダーがイメージ自体に含まれていないことを意味します。director は、ブート時には別のカーネルおよび ramdisk を使用し、オーバークラウドイメージをディスクに書き込む際に基本的なパーティションレイアウトを作成します。ただし、パーティションレイアウト、ブートローダー、および強化されたセキュリティー機能が含まれる完全なディスクイメージを作成することができます。

重要

以下のプロセスでは、director のイメージビルド機能を使用します。Red Hat では、本項に記載の指針に従ってビルドされたイメージのみをサポートしています。これらとは異なる仕様でビルドされたカスタムイメージはサポートされていません。

セキュリティーが強化されたイメージには、セキュリティーが重要な機能となる Red Hat OpenStack Platform のデプロイメントに必要な追加のセキュリティー対策が含まれます。イメージをセキュアにするためには、以下のような推奨事項があります。

  • /tmp ディレクトリーを別のボリュームまたはパーティションにマウントし、rwnosuidnodevnoexec、および relatime のフラグを付ける。
  • /var/var/log、および /var/log/audit ディレクトリーを別のボリュームまたはパーティションにマウントし、rw および relatime のフラグを付ける。
  • /home ディレクトリーを別のパーティションまたはボリュームにマウントし、rwnodevrelatime のフラグを付ける。
  • GRUB_CMDLINE_LINUX の設定に以下の変更を加える。

    • 監査を有効にするには、audit=1 を追加して、追加のカーネルブートフラグを付けます。
    • nousb を追加して、ブートローダー設定を使用した USB のカーネルサポートを無効にします。
    • crashkernel=auto を設定して、セキュアでないブートフラグを削除します。
  • セキュアでないモジュール (usb-storagecramfsfreevxfsjffs2hfshfsplussquashfsudfvfat) をブラックリストに登録して、読み込まれないようにする。
  • セキュアでないパッケージ (kexec-tools によりインストールされた kdump および telnet) がデフォルトでインストールされるので、それらをイメージから削除する。
  • セキュリティーに必要な新しい screen パッケージを追加する。

セキュリティーが強化されたイメージを構築するには、以下の手順を実行する必要があります。

  1. ベースの Red Hat Enterprise Linux 7 イメージをダウンロードする
  2. 登録固有の環境変数を設定する
  3. パーティションスキーマとサイズを変更してイメージをカスタマイズする
  4. イメージを作成する
  5. そのイメージをデプロイメントにアップロードする

以下の項では、これらのタスクを実行する手順について詳しく説明します。

C.1. ベースのクラウドイメージのダウンロード

完全なディスクイメージを構築する前に、ベースとして使用する Red Hat Enterprise Linux の既存のクラウドイメージをダウンロードする必要があります。Red Hat カスタマーポータルにナビゲートして、ダウンロードする KVM ゲストイメージを選択します。たとえば、最新の Red Hat Enterprise Linux の KVM ゲストイメージは以下のページにあります。